企业内部审计工作保密制度指南（标准版）

企业内部审计工作保密制度指南（标准版）第1章总则1.1审计工作保密原则审计工作保密原则是确保审计信息不被未经授权的人员获取或泄露，是审计工作伦理和法律要求的核心内容。根据《中华人民共和国审计法》规定，审计机关及其工作人员在履行审计职责过程中，必须严格遵守保密制度，确保审计资料的完整性和安全性。保密原则强调审计信息的敏感性，包括审计项目资料、被审计单位财务数据、审计过程中的沟通记录等，均需采取必要的保密措施，防止信息外泄。保密原则要求审计人员在工作中遵循“谁处理、谁负责”的原则，明确保密责任，确保审计信息在处理、传递、保存各环节中均受到严格管控。依据《企业内部审计准则》（2021年版），审计工作应遵循“保密、客观、公正、独立”的基本原则，确保审计结果的权威性和可信度。保密原则还要求审计人员在审计过程中，不得擅自披露审计发现的违规行为或敏感信息，避免引发不必要的社会影响或法律风险。1.2保密责任与义务审计人员在履行审计职责时，必须明确自身的保密责任，包括对审计资料的保管、传递、使用等全过程承担保密义务。根据《内部审计实务指南》（2020年版），审计人员需遵守“保密、合规、独立”的职业操守，不得利用职务之便谋取私利或泄露审计信息。保密责任包括对审计项目中的商业秘密、技术数据、财务信息等负有保密义务，确保这些信息不被未经授权的人员获取或传播。保密义务的履行需贯穿审计工作的全过程，从项目启动、实施到报告提交，每个环节均需严格遵守保密规定。依据《信息安全技术个人信息安全规范》（GB/T35273-2020），审计人员在处理涉及个人隐私或敏感信息时，应遵循最小必要原则，确保信息的合理使用与保护。1.3保密工作组织架构企业内部审计部门应设立专门的保密管理机构，明确保密工作的归口管理部门，确保保密工作有组织、有计划、有落实。保密工作组织架构应包括保密委员会、保密办公室、保密专员等岗位，形成横向联动、纵向落实的管理体系。根据《企业内部审计工作管理办法》（2021年版），保密工作应纳入企业整体管理体系，由审计部门牵头，相关部门协同配合，形成闭环管理机制。保密组织架构需配备专职保密人员，负责制定保密制度、监督执行、处理保密事件等，确保保密工作高效运行。保密组织架构应定期开展保密培训与演练，提升全员保密意识与能力，确保保密制度落地见效。1.4保密工作制度要求企业应建立完善的保密工作制度体系，涵盖保密范围、保密措施、保密责任、保密检查等内容，确保制度覆盖审计工作的全过程。保密制度应结合企业实际业务特点，明确不同层级、不同岗位的保密责任，确保制度具有可操作性和针对性。保密制度应定期修订，根据企业业务发展、法律法规变化及内部管理需求进行更新，确保制度始终符合实际需求。保密制度需与企业其他管理制度相衔接，如财务制度、信息安全制度等，形成统一的管理框架，提升整体保密水平。保密制度应通过培训、考核、监督等方式落实，确保制度执行到位，同时建立保密工作评估机制，持续优化保密管理效能。第2章保密工作内容与范围2.1审计项目保密管理审计项目保密管理是确保审计过程中涉及的敏感信息不被泄露的重要环节。根据《企业内部审计准则》规定，审计项目涉及的商业秘密、客户信息、财务数据等均需严格保密，防止因信息泄露导致的经济损失或声誉损害。审计项目保密管理应遵循“谁负责、谁保密”的原则，明确项目负责人及各参与方的保密职责，确保审计过程中的信息流转符合保密要求。在审计项目实施过程中，应建立保密分级管理制度，根据信息的敏感程度和重要性，对信息进行分类管理，确保不同层级的信息采取相应的保密措施。审计项目保密管理还需结合审计项目的风险评估结果，制定相应的保密预案，如信息泄露的应急响应机制、信息恢复流程等，以降低泄密风险。实践中，审计项目保密管理常通过签订保密协议、设置保密工作台账、开展保密培训等方式加以落实，确保审计项目全过程的保密性。2.2审计资料保密管理审计资料保密管理是审计工作的重要组成部分，涉及审计报告、审计底稿、审计数据等各类资料的存储、传输和使用。根据《审计署关于加强审计资料管理的通知》要求，审计资料必须严格分类、编号、归档，确保资料的可追溯性和安全性。审计资料应采用加密存储、权限控制、访问日志等技术手段进行管理，防止未经授权的人员访问或篡改资料。同时，应建立资料借阅登记制度，确保资料的使用符合保密要求。审计资料的存储应遵循“最小化存储”原则，仅保留必要的审计资料，避免不必要的信息留存，减少泄密风险。在审计资料传输过程中，应采用安全的通信渠道，如加密邮件、专用传输平台等，防止资料在传输过程中被截获或篡改。实践中，审计资料保密管理常通过建立电子档案系统、设置访问权限、定期检查资料存储情况等方式加以落实，确保资料的安全性与完整性。2.3审计人员保密行为规范审计人员在执行审计任务过程中，应严格遵守保密行为规范，不得擅自向外界披露审计过程中获取的敏感信息。根据《企业内部审计人员行为规范》规定，审计人员应具备保密意识，自觉维护审计工作的保密性。审计人员在与客户或相关方沟通时，应避免在非保密场合透露审计结论或敏感数据，防止信息泄露。同时，应避免在社交媒体、论坛等公开平台上发布审计相关内容。审计人员在使用电子设备时，应确保设备密码设置强密码，并定期更换，防止因设备管理不当导致信息泄露。审计人员在审计过程中，应严格遵守保密纪律，不得擅自复制、传播或泄露审计资料，违者将依据公司规定进行处理。实践中，审计人员保密行为规范常通过签订保密承诺书、开展保密培训、设立保密监督机制等方式加以落实，确保审计人员在工作中始终秉持保密原则。2.4保密信息的存储与传递保密信息的存储应采用加密存储技术，确保信息在存储过程中不被窃取或篡改。根据《信息安全技术个人信息安全规范》（GB/T35273-2020）要求，保密信息应采用加密算法进行存储，确保信息在存储过程中的安全性。保密信息的存储应遵循“物理隔离”原则，确保保密信息与非保密信息物理上分开，防止信息混杂或被非法访问。保密信息的传递应通过加密通信渠道进行，如加密邮件、专用传输平台等，防止信息在传输过程中被截获或篡改。保密信息的传递应建立严格的访问控制机制，确保只有授权人员才能访问或操作保密信息，防止信息泄露。实践中，保密信息的存储与传递常通过建立电子档案系统、设置访问权限、定期检查存储设备状态等方式加以落实，确保信息的安全传输与存储。第3章保密工作流程与管理3.1保密工作流程规范保密工作流程应遵循国家相关法律法规及企业内部制度，确保信息处理、存储、传输、销毁等各环节符合保密要求。根据《中华人民共和国保守国家秘密法》及相关规定，保密工作应建立标准化流程，明确各岗位职责与操作规范。保密工作流程需结合企业实际业务特点，制定涵盖信息分类、审批、使用、归档、销毁等全生命周期的管理机制。例如，企业应建立“三级保密制度”（秘密、机密、绝密），确保信息层级管理到位。保密流程应通过信息化手段实现闭环管理，如使用电子签章、权限控制、日志审计等技术手段，确保操作可追溯、责任可界定。根据《企业内部控制应用指引》（2016年版），企业应定期开展流程合规性检查，防止违规操作。保密工作流程需与业务流程相衔接，确保信息流转过程中不因流程复杂而产生泄密风险。例如，财务数据、客户信息等敏感信息应通过加密传输、权限分级等方式进行处理。保密流程应定期修订，根据企业战略调整、技术发展及外部环境变化，动态优化流程内容，确保其适应性与有效性。3.2保密信息的分类与分级管理保密信息应根据其敏感程度和泄露后可能造成的影响进行分类，通常分为秘密、机密、绝密三级。根据《国家秘密分级定密规定》（GB/T17156-2013），秘密信息泄露可能影响单位或国家利益，机密信息泄露可能影响国家安全，绝密信息泄露可能影响国家主权。分级管理需结合信息内容、使用范围、存储介质及处理方式，明确不同级别的信息在处理、存储、传递中的具体要求。例如，绝密信息需在专用设备上存储，并由专人管理，且未经批准不得外传。企业应建立信息分类标准，明确不同级别的信息标识与管理要求，确保信息分类与分级管理贯穿于信息获取、处理、使用、销毁的全过程。根据《信息安全技术信息系统分类与等级保护基本要求》（GB/T22239-2019），信息系统应根据其安全等级进行分级保护。保密信息的分类与分级管理应纳入企业信息安全管理体系（ISMS），并定期进行评估与更新，确保分类标准与实际业务需求相匹配。保密信息的分类与分级管理需结合岗位职责，明确不同岗位对不同级别信息的访问权限与使用限制，防止越权操作或信息滥用。3.3保密信息的审批与销毁保密信息的审批应遵循“谁产生、谁负责、谁审批”的原则，确保信息的合法性与合规性。根据《保密工作实施办法》（中办发〔2017〕21号），信息审批需由相关部门负责人或授权人员进行审核，确保信息的必要性和适当性。保密信息的销毁需严格遵循“分类销毁、专人负责、记录可查”的原则，确保销毁过程可追溯、无遗漏。根据《国家秘密载体销毁管理办法》（国办发〔2017〕35号），销毁前应进行清点、登记，并由指定人员销毁，销毁后需留存销毁记录。保密信息的销毁应采用物理销毁或电子销毁方式，确保信息彻底消除，防止信息复用或泄露。例如，纸质文件可采用粉碎机销毁，电子文件可采用格式化、粉碎、销毁等手段处理。保密信息的销毁需建立销毁台账，记录销毁时间、方式、责任人及审批人，确保销毁过程有据可查。根据《保密工作技术规范》（GB/T32115-2015），销毁过程应由保密部门监督执行。保密信息的销毁应定期开展销毁检查，确保销毁流程符合规定，防止因管理疏漏导致泄密风险。3.4保密信息的访问与使用保密信息的访问需严格控制，确保只有授权人员方可接触。根据《信息安全技术信息分类与等级保护基本要求》（GB/T22239-2019），信息访问需通过身份认证、权限控制、日志审计等手段实现。保密信息的使用需遵循“最小授权”原则，即仅允许使用必要的信息，不得擅自复制、传播或修改。根据《保密工作实施办法》（中办发〔2017〕21号），信息使用需经审批，且不得用于非授权目的。保密信息的访问与使用应通过信息系统或纸质文档进行，确保信息流转过程可控。例如，电子文档可通过权限管理实现访问控制，纸质文档需通过签收、登记等方式管理。保密信息的访问与使用需建立使用登记制度，记录访问时间、人员、用途及审批情况，确保使用过程可追溯。根据《保密工作技术规范》（GB/T32115-2015），使用记录应保存至少3年。保密信息的访问与使用应定期进行安全审计，发现异常访问行为及时处理，防止信息滥用或泄密。根据《企业信息安全管理规范》（GB/T35273-2020），企业应建立信息访问审计机制，确保信息使用合规。第4章保密培训与教育4.1保密教育培训制度依据《企业内部审计工作保密制度指南（标准版）》要求，保密教育培训制度应纳入企业员工培训体系，作为常态化管理内容，确保所有相关人员掌握保密知识与技能。建立分级培训机制，针对不同岗位、不同层级的员工，开展针对性的保密教育，如审计人员、财务人员、管理人员等，确保培训内容与岗位职责相匹配。培训内容应涵盖保密法律法规、内部审计工作流程、保密技术手段、泄密防范措施等，结合案例分析、情景模拟等方式增强培训效果。培训需定期开展，一般每季度至少一次，特殊情况如重大审计项目或敏感时期，应增加培训频次，确保全员覆盖。建立培训记录与考核机制，记录培训时间、内容、参与人员及考核结果，作为员工岗位资格认证与绩效评估的重要依据。4.2保密知识学习与考核保密知识学习应采用“理论+实践”相结合的方式，通过内部审计工作手册、保密法规汇编、案例库等资料进行系统学习。考核方式应多样化，包括笔试、实操演练、保密情景模拟等，确保考核内容全面、客观，避免形式主义。考核结果应纳入员工年度绩效考核，优秀者可获得奖励，不合格者需补训或调岗，确保保密知识内化于心、外化于行。建立保密知识学习档案，记录员工学习情况、考核成绩及整改情况，作为后续培训与考核的重要参考。引用《信息安全技术保密技术要求》（GB/T22239-2019）中关于保密知识考核的规范，确保考核内容符合国家标准。4.3保密宣传与教育活动保密宣传应贯穿于企业日常管理中，通过内部公告、邮件、会议等多种渠道，营造浓厚的保密氛围。开展“保密宣传月”等活动，结合审计工作特点，组织专题讲座、知识竞赛、案例分享等，提升员工保密意识。利用新媒体平台，如企业公众号、内部学习平台等，发布保密知识文章、视频，扩大宣传覆盖面。建立保密宣传长效机制，定期发布保密提示、安全提醒，及时应对新出现的保密风险。引用《企业内部审计工作保密制度指南（标准版）》中关于宣传工作的建议，确保宣传内容与审计工作紧密结合。4.4保密意识提升机制建立保密意识提升机制，将保密意识纳入员工职业发展体系，通过培训、考核、激励等手段，持续提升员工保密意识。保密意识提升应结合审计工作实际，如审计人员需具备较强的信息安全意识，财务人员需了解财务数据保密要求等。建立保密意识评估体系，定期开展保密意识调查，了解员工知识掌握情况与实际行为，针对性改进。引用《企业内部审计工作保密制度指南（标准版）》中关于保密意识提升的建议，确保机制科学、有效。建立保密意识提升反馈机制，收集员工意见，优化培训内容与方式，形成闭环管理。第5章保密检查与监督5.1保密检查的组织与实施保密检查应由内部审计部门牵头，结合业务部门、信息安全部门等多部门协同开展，形成跨部门联合检查机制，确保检查覆盖全面、无死角。检查应遵循“全面覆盖、重点突出、分级分类”原则，根据企业风险等级、业务类型及数据敏感性制定检查计划，确保检查工作科学有序。检查通常采用“自查自纠+专项检查”相结合的方式，鼓励员工主动上报问题，同时对重点岗位、关键系统进行突击检查，提升检查实效性。检查过程中应严格遵循《企业内部审计准则》《信息安全技术信息安全风险评估规范》等相关标准，确保检查流程规范、结果客观。检查结果需形成书面报告，明确问题类型、发生频率、影响范围及整改建议，作为后续审计及整改工作的依据。5.2保密检查的频率与内容保密检查应定期开展，一般每年至少一次，特殊时期如数据泄露高发期、重大业务活动期间应增加检查频次。检查内容涵盖制度执行、数据安全、人员管理、技术防护等多个维度，重点检查保密协议签署、权限管理、数据分类与存储、访问控制等关键环节。检查应结合企业年度审计计划，纳入年度内审工作，确保检查与审计工作有机衔接，避免重复检查与遗漏重点。检查应采用“定性+定量”相结合的方法，既关注问题的严重性，也评估整改措施的落实情况，提升检查的科学性与针对性。检查结果应通过内部通报、整改台账等方式反馈，确保问题整改闭环，防止问题反复发生。5.3保密检查结果的处理与反馈保密检查发现的问题应分类处理，包括一般性问题、重大风险问题及整改责任问题，确保问题有责可查、有据可依。对于一般性问题，应督促相关部门限期整改，整改后需提交整改报告并经审计部门确认；重大风险问题则需启动专项整改，由分管领导牵头落实。检查结果反馈应通过正式文件形式传达，明确责任人、整改时限及监督机制，确保整改过程透明可追溯。对于整改不力或拒不整改的单位，应依据《企业内部审计工作规程》进行问责，涉及违法违纪行为的应移交纪检部门处理。检查结果应纳入年度审计评价体系，作为部门绩效考核与人员晋升的重要参考依据。5.4保密监督机制与责任追究保密监督应建立常态化机制，由内部审计部门牵头，联合信息安全部门定期开展监督，形成“检查—整改—复查”闭环管理流程。对于保密工作中出现的失职行为，应依据《中华人民共和国保密法》《国有企业领导人员廉洁从业规定》等法律法规进行追责，确保责任到人、追责到位。建立保密责任清单，明确各部门、各岗位的保密职责，实行“一岗双责”，强化责任意识与风险防控意识。对于重大保密事件，应启动内部调查程序，查明原因、明确责任、提出整改措施，并向高层汇报，确保问题彻底整改。建立保密监督考核机制，将保密工作纳入部门绩效考核，对保密工作成效显著的单位给予表彰，对工作不力的单位进行通报批评。第6章保密违规处理与责任追究6.1保密违规行为的界定保密违规行为是指违反国家保密法律法规及企业内部保密制度的行为，包括但不限于泄露国家秘密、企业秘密、个人隐私等。根据《中华人民共和国保守国家秘密法》第31条，任何组织或个人不得非法获取、持有、使用、传递、销毁国家秘密或企业秘密。保密违规行为的界定需依据《企业内部审计工作保密制度指南（标准版）》及相关法律法规，结合具体案例进行判断，确保行为的违法性、危害性和可追溯性。根据《信息安全技术保密技术要求》（GB/T39786-2021），保密违规行为可划分为一般违规、较重违规和严重违规三类，分别对应不同的处理措施。保密违规行为的界定应遵循“行为发生、危害程度、影响范围”三要素，确保处理的公正性和权威性。保密违规行为的界定需结合企业实际管理流程，如审计过程中发现的违规行为，应依据《内部审计准则》第10条关于审计证据和审计结论的规定进行确认。6.2保密违规处理程序保密违规处理程序应遵循《企业内部审计工作保密制度指南（标准版）》规定的流程，包括初步调查、证据收集、定性分析、处理决定和结果反馈等环节。依据《审计法》第36条，审计人员在执行审计任务时，应依法依规进行保密工作，确保审计过程中的信息不被泄露。处理程序应由审计部门主导，必要时可联合纪检监察部门进行调查，确保处理的权威性和公正性。根据《审计署关于加强内部审计工作保密管理的通知》（审计署发〔2020〕12号），保密违规处理应遵循“调查—认定—处理—反馈”四步法，确保流程闭环。处理程序需在企业内部进行公示，确保员工知晓并接受处理结果，同时保留完整的处理记录，作为后续审计或责任追究的依据。6.3保密违规责任追究机制保密违规责任追究机制应依据《企业内部审计工作保密制度指南（标准版）》第5章关于责任认定的规定，明确违规人员的法律责任。根据《刑法》第398条，泄露国家秘密罪和《保密法》第49条，企业员工因违反保密规定被追究刑事责任的情况，需由司法机关依法处理。企业应建立保密违规责任追究机制，明确各级管理人员和员工的保密责任，确保责任到人、追责到人。根据《企业内部审计工作保密制度指南（标准版）》第6章，责任追究应遵循“分级管理、分类处理、责任到人”的原则，确保处理措施与违规行为的严重程度相匹配。企业应定期对责任追究机制进行评估，结合实际案例进行优化，确保机制的有效性和可操作性。6.4保密违规处理结果的记录与通报保密违规处理结果应由审计部门统一归档，确保处理过程的可追溯性和透明度，依据《企业内部审计档案管理规范》（GB/T31114-2014）进行管理。依据《审计法》第37条，处理结果应以书面形式向相关人员通报，确保处理结果的公开性和可执行性。企业应建立保密违规处理结果的通报制度，通报内容应包括违规行为、处理结果、整改要求及后续监督措施。根据《企业内部审计工作保密制度指南（标准版）》第7章，处理结果的通报应遵循“分级通报、分类处理”的原则，确保不同层级的员工知晓并执行整改措施。处理结果的记录应保留至少5年，作为企业内部审计和责任追究的重要依据，确保处理结果的长期有效性。第7章保密工作保障与支持7.1保密工作资源保障企业应建立保密工作资源保障机制，明确保密人员的职责与考核标准，确保保密岗位人员配备充足，符合《企业事业单位保密工作管理办法》要求。保密工作需配备专职或兼职保密员，依据《中华人民共和国保密法》规定，保密人员应具备相关专业知识和技能，定期接受培训与考核。保密资源包括保密设施、保密设备、保密资料等，应按照《企业保密工作基本规范》进行配置，确保保密工作有物可依、有章可循。企业应建立保密工作资源动态管理机制，定期评估保密资源的使用情况，确保资源合理分配与高效利用。保密工作资源保障应纳入企业整体人力资源规划，确保保密岗位人员的编制与薪酬与企业整体发展相协调。7.2保密工作技术保障企业应建立保密技术保障体系，采用加密技术、访问控制、数据脱敏等手段，确保涉密信息在传输、存储、处理过程中的安全。保密技术保障应结合《信息安全技术个人信息安全规范》（GB/T35273-2020）要求，采用符合国家标准的信息安全技术措施。企业应定期进行保密技术系统安全评估，依据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）开展等级保护工作。保密技术保障需建立应急响应机制，确保在发生泄密事件时能够及时启动应急预案，减少损失。保密技术保障应与企业信息化建设相结合，推动保密技术与业务流程深度融合，提升保密工作智能化水平。7.3保密工作经费保障企业应将保密工作经费纳入年度预算，确保保密工作有专项资金支持，符合《企业保密工作经费管理办法》要求。保密工作经费应专款专用，用于保密设施购置、保密人员培训、保密技术系统建设、保密检查等。企业应建立保密经费使用审批制度，确保经费使用透明、合规，避免挪用或浪费。保密经费保障应与企业绩效考核挂钩，将保密工作成效纳入企业年度考核体系。保密工作经费保障应定期审计，确保资金使用效益最大化，提升保密工作的可持续性。7.4保密工作信息化管理企业应建立保密工作信息化管理系统，实现保密信息的分类管理、动态监控与预警，提升保密管理效率。保密信息化管